JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月29日、「「能動的サイバー防御」は効果があるのか? ~注目が集まるoffensiveなオペレーションの考察~ - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、昨年9月に公開した記事「「積極的サイバー防御」(アクティブ・サイバー・ディフェンス)とは何か ―より具体的な議論に向けて必要な観点について― - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ」で示した防御手段のうち、侵害性の高いoffensiveなオペレーションについて、その手段や効果について考察した。
-
「能動的サイバー防御」は効果があるのか? ~注目が集まるoffensiveなオペレーションの考察~ - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ
ここでいう「offensiveなオペレーション」とは、侵害を受ける前にこれを察知し攻撃インフラを特定してこれを妨害、制圧するなどして無力化することを指しているとみられる(物理的な手段は対象外)。このような防御手段は民間が行うことは法的に困難であり、通常は行政機関によってのみ行われる。ここでは、これら行為についての法的な問題については議論の対象としていない。
JPCERT/CCはこのようなoffensiveなオペレーションについて、次のような手段と予想される効果を示している。
- コマンド&コントロール(C2: Command and Control)サーバとの通信を遮断する - 大規模なマルウェア感染やボットネット対策に効果が見込まれる。持続的標的型攻撃(APT: Advanced Persistent Threat)に対する効果は限定的
- コマンド&コントロールサーバを停止させる - 攻撃者は別のコマンド&コントロールサーバへ切り替えるだけと予想される。効果は限定的
- コマンド&コントロールサーバの設定変更 - 攻撃活動の停止は見込めない。攻撃者の追跡などが目的となる
- コマンド&コントロールサーバの先にいる攻撃インフラへの侵入 - 中長期的な攻撃者の追跡および反撃の準備行為。これ自体に防衛的な効果は期待されていない
JPCERT/CCによると、offensiveなオペレーションは事前に侵害を予見するために中長期的な攻撃活動に関する分析と蓄積が必要で、ある程度の被害発生後でなければ次の攻撃を予見できないという。これは未知の活動に対しては無力であることを意味しており、上記の手段と効果からもoffensiveなオペレーションだけでは防御として不十分であり、ほかの防衛的手段と組み合わせる必要があることがわかる。
またJPCERT/CCは、コストの面からみた対抗戦略にも触れている。サイバー攻撃は国をまたいで行われることが多いため、犯人を拘束して終了とはならない。よって、攻撃は永続的に発生し、対抗策も長期戦/消耗戦とならざるを得ないと想定されている。消耗戦においてはいかに相手にコストとかけさせ、自らのコストを削減するかが重要となる。
このコストについて、JPCERT/CCは現在の被害対応(行政機関との情報共有や被害公表)はコストが高くなっており削減する必要があると指摘している。現在、経済産業省で行われている「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」にJPCERT/CCは事務局として参加、コスト削減について問題提起・提案を行っており、必要な被害対応を確保しつつコスト削減の方針が示されることが期待されている。
